アカウント名:
パスワード:
とてもIDでは言えないが、客の中にはいまだに5.5や5.3使ってるところがある。最悪なのはいまだに4.xのところ。
危ないよという意見は内外からも頻出しているけれどアップデートに合わせた修正を行う資金も無い、システムを停止する勇気も無い、痛い目に合うまで走りつづけるという・・・
RHEL6が2020年までサポートされる予定で、それに入っているPHPは5.3なので、あと4年は5.3を使い続けるところは結構多いでしょうねぇ。セキュリティ問題などは、現行PHPでの修正を5.3にバックポートするなど、RedHatが独自にサポートすることになっていますが、最近は全然更新されておらず、結構致命的な問題がいくつか放置状態なはず。
具体的に、致命的な問題が放置になっているCVE番号を教えていただけませんでしょうか。Redhatの評価でImportant以上のものはパッチが出ていると思っていたのですが、評価自体が問題とおっしゃっているの?
古いバージョンの php には、開発元が脆弱性とは認めていなくても、言語仕様自体にセキュリティ上の問題がある箇所がかなりあります。
例えば、CentOS (RHEL) 6 の php バージョンは PHP 5.3.3 ですが、『例えば、PHPを避ける』以降PHPはどれだけ安全になったか [tokumaru.org] から引用すると、
6.ヌルバイト攻撃の防御機能の追加(PHP-5.3.4 2010/12/9) よく知らているように、PHPの機能・関数にはバイナリセーフのものとそうでないものが混在しているため、ヌルバイト攻撃という攻撃手法が成立していました。 7.PDOのDB接続時の文字エンコーディング指定が可能に(PHP-5.3.6 2011/3/17) 昔は、PDOを用いる際にDB接続の文字エンコーディングを簡単には指定できないため、SQLインジェクション脆弱性の可能性がありました。 11. Session Adoption Bugの修正(PHP-5.5.2 2013/8/15) PHPには従来からセッションIDとして勝手な値(例: PHPSESSID=ABC)をつけてもそれを受け入れてしまうという問題(Session Adoption)が指摘されていました。PHP開発陣はSession Adoptionはない方がいいが重大な問題ではないと認識していたようで長らく放置されていましたが、PHP-5.5.2にて修正されました。(個別に「中略」表記をしていませんが、引用時にそれぞれの項目から一部を抜き出しています)
6.ヌルバイト攻撃の防御機能の追加(PHP-5.3.4 2010/12/9) よく知らているように、PHPの機能・関数にはバイナリセーフのものとそうでないものが混在しているため、ヌルバイト攻撃という攻撃手法が成立していました。
7.PDOのDB接続時の文字エンコーディング指定が可能に(PHP-5.3.6 2011/3/17) 昔は、PDOを用いる際にDB接続の文字エンコーディングを簡単には指定できないため、SQLインジェクション脆弱性の可能性がありました。
11. Session Adoption Bugの修正(PHP-5.5.2 2013/8/15) PHPには従来からセッションIDとして勝手な値(例: PHPSESSID=ABC)をつけてもそれを受け入れてしまうという問題(Session Adoption)が指摘されていました。PHP開発陣はSession Adoptionはない方がいいが重大な問題ではないと認識していたようで長らく放置されていましたが、PHP-5.5.2にて修正されました。
(個別に「中略」表記をしていませんが、引用時にそれぞれの項目から一部を抜き出しています)
あたりは、脆弱性ではなく言語仕様によるものなので、CentOS / RHEL のリポジトリではパッチがあたっていないのでは?
# 1個1個検証したわけではないので、ひょっとしたら上記の問題についてもパッチが提供されているかもしれません。もしそうであれば、すみません。
CentOSのPHPは本当に安全か [qiita.com] によると、CVE が付くような脆弱性についても Cent OS の場合ディストリビューション側でのバックポートに約2か月かかっていることもあるので、頻繁にメンテナンスできるサーバであるならばソースからビルドする方が安全 と言えます。ただし、面倒になって古いバージョンが放置される状況よりは、ディストリビューションのパッケージ管理システム下で yum update を定期的に回していた方がマシです。
一つ上のコメントを書いたACですが、大変参考になりました。
言語仕様上、安全になっているということが考慮から抜けていましたね
最新の独自ビルド > 最新のディストリビューションパッケージ > 放置独自ビルド ≒ 放置パッケージ
# 頻繁に独自でコンパイルしつつ検証して適用して# 問題があれば修正してというのはなかなか大変だな・・・
古いバージョンのOSも似たようなものなのになぜか後を絶たない「Windows 7で十分」信者
そりゃWindows7は一応サポート対象だしアップデートも続いている「Windows7にあってWindows8.1や10にはない、セキュリティ的に問題がある(けど互換性のために消せない)仕様」ってのは聞いたことがないが
言語仕様として元々リスクを抱え込んでるものと同一視した挙げ句、信者とか言い出す馬鹿に言っても無駄かもしれないけどな
サポートが続いてるのはRHELのPHPも一緒だろ。そういうわけのわからないことを言ってるから信者呼ばわりされることすら気づかない。
https://blogs.msdn.microsoft.com/nakama/2016/08/18/win10waas-part2/ [microsoft.com]> 典型的な誤解として、セキュリティパッチをすべて当てさえすれば大丈夫、というものがあります。もちろん、セキュリティパッチを適切に当てていくことは基本中の基本ですが、これはあくまで「現在の『穴』を塞ぐ」というものでしかなく、「根本的な安全性を高める」ことはセキュリティパッチではできない、という点を理解する必要があります。
なるほど。
サポートが続いてようが続いてまいが、仕様バグを互換性のために残してるようなモノとOSを一緒くたに語るのが間違い
それって、デストリビューター側でパッチリリースしているわけではなくて?RHEL 6 は PHP 5.3だし、7は5.4だけど、CVEつくような奴は概ね修正されていると思う。
野良ビルドで中途半端に古いやつ使ってるサーバのほうがよっぽどやばそうだけど・・・
少なくともCentOS 6ではパッケージの更新は終わっています。
5.3系最終版の更新日は2015-09-12 ftp://www.rpmfind.net/linux/RPM/centos/6.8/x86_64/Packages/php-5.3.3-4... [rpmfind.net] > * Wed Dec 09 2015 Remi Collet - 5.3.3-47
一方、今年のCVE: http://www.cvedetails.com/vulnerability-li [cvedetails.com]
updateリポジトリの方ですね。見落としてました。でも、いつまでリリースされるんでしょうね。
> updateリポジトリの方ですね。見落としてました。> でも、いつまでリリースされるんでしょうね。
結局、根拠のない言いがかり、ってことですね
サポート契約を結んでいるなら、契約期間が明記されていますからその日まではアップデートはリリースされるでしょうもしアップデートが止まっているなら「ちゃんとリリース,サポートしてもらわないと困る.契約違反だ」というべきです
サポート契約を結んでるけどredhatが信用できないという話ならそもそもなぜそんなところと契約したの?って話なります
サポート契約は結ばずタダ乗りしてるだけならせめて update ぐらいは確認してからコメントしてください
誤: 5.3系最終版の更新日は2015-09-12正: 5.3系最終版の更新日は2015-12-09
yum infoで調べりゃわかるのに、どうしてこう嘘ばかり書くのか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
困ったことに (スコア:1)
とてもIDでは言えないが、客の中にはいまだに5.5や5.3使ってるところがある。
最悪なのはいまだに4.xのところ。
危ないよという意見は内外からも頻出しているけれど
アップデートに合わせた修正を行う資金も無い、
システムを停止する勇気も無い、
痛い目に合うまで走りつづけるという・・・
Re: (スコア:0)
RHEL6が2020年までサポートされる予定で、それに入っているPHPは5.3なので、あと4年は5.3を使い続けるところは結構多いでしょうねぇ。
セキュリティ問題などは、現行PHPでの修正を5.3にバックポートするなど、RedHatが独自にサポートすることになっていますが、
最近は全然更新されておらず、結構致命的な問題がいくつか放置状態なはず。
Re: (スコア:0)
具体的に、致命的な問題が放置になっているCVE番号を教えていただけませんでしょうか。
Redhatの評価でImportant以上のものはパッチが出ていると思っていたのですが、
評価自体が問題とおっしゃっているの?
脆弱性ではないけど、セキュリティ上問題のある言語仕様は修正されない (スコア:4, すばらしい洞察)
古いバージョンの php には、開発元が脆弱性とは認めていなくても、言語仕様自体にセキュリティ上の問題がある箇所がかなりあります。
例えば、CentOS (RHEL) 6 の php バージョンは PHP 5.3.3 ですが、『例えば、PHPを避ける』以降PHPはどれだけ安全になったか [tokumaru.org] から引用すると、
あたりは、脆弱性ではなく言語仕様によるものなので、CentOS / RHEL のリポジトリではパッチがあたっていないのでは?
# 1個1個検証したわけではないので、ひょっとしたら上記の問題についてもパッチが提供されているかもしれません。もしそうであれば、すみません。
CentOSのPHPは本当に安全か [qiita.com] によると、CVE が付くような脆弱性についても Cent OS の場合ディストリビューション側でのバックポートに約2か月かかっていることもあるので、頻繁にメンテナンスできるサーバであるならばソースからビルドする方が安全 と言えます。ただし、面倒になって古いバージョンが放置される状況よりは、ディストリビューションのパッケージ管理システム下で yum update を定期的に回していた方がマシです。
Re: (スコア:0)
一つ上のコメントを書いたACですが、大変参考になりました。
言語仕様上、安全になっているということが考慮から抜けていましたね
最新の独自ビルド > 最新のディストリビューションパッケージ > 放置独自ビルド ≒ 放置パッケージ
# 頻繁に独自でコンパイルしつつ検証して適用して
# 問題があれば修正してというのはなかなか大変だな・・・
Re: (スコア:0)
古いバージョンのOSも似たようなものなのになぜか後を絶たない「Windows 7で十分」信者
Re: (スコア:0)
そりゃWindows7は一応サポート対象だしアップデートも続いている
「Windows7にあってWindows8.1や10にはない、セキュリティ的に問題がある(けど互換性のために消せない)仕様」ってのは聞いたことがないが
言語仕様として元々リスクを抱え込んでるものと同一視した挙げ句、信者とか言い出す馬鹿に言っても無駄かもしれないけどな
Re: (スコア:0)
サポートが続いてるのはRHELのPHPも一緒だろ。そういうわけのわからないことを言ってるから信者呼ばわりされることすら気づかない。
Re: (スコア:0)
https://blogs.msdn.microsoft.com/nakama/2016/08/18/win10waas-part2/ [microsoft.com]
> 典型的な誤解として、セキュリティパッチをすべて当てさえすれば大丈夫、というものがあります。もちろん、セキュリティパッチを適切に当てていくことは基本中の基本ですが、これはあくまで「現在の『穴』を塞ぐ」というものでしかなく、「根本的な安全性を高める」ことはセキュリティパッチではできない、という点を理解する必要があります。
なるほど。
Re: (スコア:0)
サポートが続いてようが続いてまいが、仕様バグを互換性のために残してるようなモノとOSを一緒くたに語るのが間違い
Re: (スコア:0)
それって、デストリビューター側でパッチリリースしているわけではなくて?
RHEL 6 は PHP 5.3だし、7は5.4だけど、CVEつくような奴は概ね修正されていると思う。
野良ビルドで中途半端に古いやつ使ってるサーバのほうが
よっぽどやばそうだけど・・・
Re: (スコア:0)
少なくともCentOS 6ではパッケージの更新は終わっています。
5.3系最終版の更新日は2015-09-12
ftp://www.rpmfind.net/linux/RPM/centos/6.8/x86_64/Packages/php-5.3.3-4... [rpmfind.net]
> * Wed Dec 09 2015 Remi Collet - 5.3.3-47
一方、今年のCVE:
http://www.cvedetails.com/vulnerability-li [cvedetails.com]
Re:困ったことに (スコア:2)
* Mon Jul 25 2016 Remi Collet - 5.3.3-48
- don't set environmental variable based on user supplied Proxy request header CVE-2016-5385
Re: (スコア:0)
updateリポジトリの方ですね。見落としてました。
でも、いつまでリリースされるんでしょうね。
Re: (スコア:0)
> updateリポジトリの方ですね。見落としてました。
> でも、いつまでリリースされるんでしょうね。
結局、根拠のない言いがかり、ってことですね
サポート契約を結んでいるなら、契約期間が明記されていますから
その日まではアップデートはリリースされるでしょう
もしアップデートが止まっているなら
「ちゃんとリリース,サポートしてもらわないと困る.契約違反だ」というべきです
サポート契約を結んでるけどredhatが信用できないという話なら
そもそもなぜそんなところと契約したの?って話なります
サポート契約は結ばずタダ乗りしてるだけなら
せめて update ぐらいは確認してからコメントしてください
Re: (スコア:0)
誤: 5.3系最終版の更新日は2015-09-12
正: 5.3系最終版の更新日は2015-12-09
Re: (スコア:0)
yum infoで調べりゃわかるのに、どうしてこう嘘ばかり書くのか。